ベーシックセキュリティグループに比べ、アドバンストセキュリティグループには、より多くの ECS インスタンスと ENI を含めることができます。また、無制限の数のプライベート IP アドレスを管理することもできます。 アドバンストセキュリティグループは VPC ネットワークに適用可能で、ルールを追加する仕組みが簡素化されています。 アドバンストセキュリティグループは、O&M 効率、ECS インスタンス仕様、コンピューティングノードの要件がより高いシナリオで使用可能です。

機能比較

ECS インスタンスまたは ENI をベーシックセキュリティグループとアドバンストセキュリティグループの両方に追加できないため、ネットワーク環境を計画する前に、2 つのセキュリティグループタイプの機能の違いを理解しておくことを推奨します。 ベーシックセキュリティグループの詳細は、「セキュリティグループ」をご参照ください。

項目 ベーシックセキュリティグループ アドバンストセキュリティグループ
すべてのインスタンスタイプをサポートしているか。 はい いいえ。 IPv6 インスタンスのみをサポートします。
VPC をサポートしているか。 はい はい
クラシックネットワークをサポートしているか。 はい いいえ
ルールのプライオリティを指定できるか。 はい いいえ
他のセキュリティグループに付与されたアクセス権限か。 はい いいえ
許可のセキュリティグループルールを手動で設定するか。 はい はい
拒否のセキュリティグループルールを手動で設定するか。 はい いいえ。 アドバンストセキュリティグループの場合、デフォルトですべてのアクセスリクエストは拒否されます。
サポートされる ENI の数 セキュリティグループ内の ECS インスタンスの数によって制限されます。 50,000
どのインスタンスタイプにも ENI をバインドできるか。 はい。 インスタンスネットワークタイプは VPC である必要があります。 いいえ。 ENI をバインドできるのは、IPv6 をサポートするインスタンスタイプのみです。
プライベート IP アドレスの数 2,000 制限なし

制限

  • 2019 年 5 月 30 日より前に作成された ECS インスタンスをアドバンストセキュリティグループに追加することはできません。
  • アドバンストセキュリティグループに追加できるのは、IPv6 をサポートするインスタンスタイプのみです。 詳細は、「インスタンスタイプファミリー」をご参照ください。
  • ECS インスタンスと ENI には、セキュリティグループタイプに関して次の要件があります。
    • ECS インスタンスは、ベーシックセキュリティグループとアドバンストセキュリティグループの両方に追加できません。
    • ENI は、ベーシックセキュリティグループとアドバンストセキュリティグループの両方に追加できません。
    • ENI が ECS インスタンスにバインドされている場合、どちらも同じセキュリティグループタイプに属していなければなりません。

コンソール操作

ECS コンソールでは、次のようにアドバンストセキュリティグループを使用できます。

  1. アドバンストセキュリティグループを作成します[セキュリティグループタイプ][アドバンストセキュリティグループ] に設定します。
  2. アドバンストセキュリティグループに許可ルールを追加します

    アドバンストセキュリティグループは、通信のホワイトリストに相当します。 許可ルールのみを作成でき、ルールにプライオリティ値を設定することはできません。 権限付与オブジェクトは、セキュリティグループではなく、CIDR ブロックでなければなりません。

  3. IPv6 をサポートする ECS インスタンスをアドバンストセキュリティグループに追加します。 ECS インスタンスは、ベーシックセキュリティグループとアドバンストセキュリティグループの両方に追加できません。
  4. アドバンストセキュリティグループで ENI を使用するには、次の手順を実行します。
    1. ENI が既にベーシックセキュリティグループに追加されている場合、ENI の属性変更により、ENI をアドバンストセキュリティグループに追加できます。
    2. ENI を ECS インスタンスにバインドします
  5. (オプション) アドバンストセキュリティグループを管理します。 たとえば、タグの追加、名前や説明の変更、アドバンストセキュリティグループの ECS インスタンスの管理などが可能です。

API 操作

  1. CreateSecurityGroup を呼び出し、 SecurityGroupTypeenterprise に設定します。

    セキュリティグループを作成する前に、VPC と VSwitch が作成されていることを確認してください。

  2. AuthorizeSecurityGroup を呼び出して、アドバンストセキュリティグループへの受信トラフィックを許可するルールを追加します。 権限付与オブジェクトは、セキュリティグループではなく、CIDR ブロックでなければなりません。

    アドバンストセキュリティグループは、通信のホワイトリストに相当します。 Policy は、デフォルトで accept に設定されています.。 Priority は空白のままにできますが、IpProtocolPortRangeSourcePortRange (オプション)、SourceCidrIpDestCiderIp は指定する必要があります。

  3. AuthorizeSecurityGroupEgress を呼び出して、送信ルールをアドバンストセキュリティグループに追加します。
  4. JoinSecurityGroup を呼び出して、VPC タイプの ECS インスタンスをアドバンストセキュリティグループに追加します。
  5. アドバンストセキュリティグループで ENI を使用するには、次の手順を実行します。
    1. ENI が既にベーシックセキュリティグループに追加されている場合、ModifyNetworkInterfaceAttribute を呼び出して、ENI をアドバンストセキュリティグループに追加します。
    2. AttachNetworkInterface を呼び出して、アドバンストセキュリティグループに追加されている ENI を ECS インスタンスにアタッチします。
  6. (オプション) DescribeSecurityGroups を呼び出して、現在のリージョンに作成されているセキュリティグループのリストを表示します。